Newsletter sind eine hervorragende Möglichkeit, mit deinen Kunden in Verbindung zu bleiben und eine Beziehung aufzubauen.
Das Newsletter-Formular ist dafür deine Eingangstür. Hier betreten deine Interessenten und Kunden dein Newsletter-Tool.
Sie geben dir ihre E-Mail-Adresse. Also personenbezogene Daten.
Diese Datenverarbeitung über Newsletter-Versand oder auch E-Mail Marketing ist nicht ohne gesetzliche Vorgaben und Richtlinien möglich. Seit die EU-Datenschutzgrundverordnung (GDPR) im Mai 2018 in Kraft getreten ist, gilt Folgendes: Ohne die ausdrückliche Zustimmung deiner Empfänger/innen darfst du keine Daten verarbeiten. Also auch keinen Newsletter verschicken.
In diesem Artikel erfährst du, wie du Schritt für Schritt DSGVO-konforme Anmeldeformulare erstellst und was du dabei beachten musst.
Denn schon ein kleiner Fehler kann in der Theorie teure Konsequenzen haben.
In der Praxis zeigt sich dann allerdings, dass es egal ist, ob man sich an Vorgaben hält oder nicht. Ich habe zwei Beschwerden exemplarisch dokumentiert. Tatsächlich aber mehr als 25 im Zeitraum von 2020 bis 2021 abgesetzt und keine davon ist je ernsthaft beantwortet / bearbeitet worden.
Newsletter Formulare selbst erstellen: Vorteile / Nachteile
100%ige Kontrolle
DSGVO konform (wenn man die Regeln kennt)
Nicht auf HTML Formulare angewiesen (die ziehen oft Google Fonts, das ist nicht DSGVO konform: Abmahnfalle!)
Zeitaufwand
Anwaltliche Prüfung muss selbst gezahlt werden
Newsletter abonnieren
Wenn dir der Artikel gefällt, dann abonniere doch meinen Newsletter.
Ich lese für dich den langweiligen DSGVO Mist und erzähle dir nur das, was du wirklich wissen musst.
Außerdem erfährst du immer, wenn ich neue Tools teste oder Anleitungen erstelle.
Gesetzliche Regelungen für Newsletter-Formulare
Im Großen und Ganzen gelten für den Versand von Newslettern und die Erstellung der Anmeldeformulare die DSGVO und das TTDSG.
DSGVO: Datenschutz Grundverordnung
Die Abkürzung DSGVO steht für die Datenschutz-Grundverordnung. Das ist nicht ein Gesetz, sondern eine ganze Reihe von Gesetzen, die für jedes Unternehmen innerhalb der EU gelten. Diese Gesetze sollen die individuellen Persönlichkeitsrechte der EU Bürger schützen.
Das bedeutet, alle personenbezogenen Daten dürfen nur mit Zustimmung gesammelt, gespeichert oder verarbeitet werden. Diese Zustimmung darf jederzeit widerrufen werden. Personenbezogene Daten sind zum Beispiel Name, Telefonnummer, Information zu Wohnort, Geschlecht oder E-Mail-Adresse.
Wenn du dich an diese Vorgaben nicht hältst, drohen im schlimmsten Fall gerichtliche Abmahnungen oder Bußgelder.
Die DSGVO gilt für alle. Es ist unerheblich, ob du als Website-Betreiber, Shop-Betreiber, Verein, gemeinnützige Organisation einen Newsletter verschickst.
TTDSG: Analyse deiner Newsletter Daten
Mit dem Inkrafttreten der TTDSG wurde erst nachgelagert klar, dass Tracking in Newslettern genauso DSGVO-konform mit einer Einwilligung erlaubt werden muss, wie Tracking auf der Webseite. Die meisten Newsletter Tools bieten dieses Feature an, aber ich kenne keines, das die Leser beim Abonnieren explizit nach einer Einwilligung fragt. Es besteht auch nicht die Möglichkeit, diese Funktion für einzelne Nutzer abzuschalten.
TELEKOMMUNIKATION-TELEMEDIEN-DATENSCHUTZ-GESETZES (TTDSG)
Das TTDSG regelt seit dem 01.12.2021 vor allem eins: Du benötigst für (nahezu) alle Cookies eine aktive Einwilligung.
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“ (Absatz 1 des § 25 TTDSG).
Dabei ist allerdings (wie in der DSGVO) noch gar nicht absehbar, was das in der Praxis bedeutet.
In deiner Rolle als Webseitenbetreiber lässt sich das TTDSG recht einfach umsetzen. Du kannst auf deiner Webseite über ein Cookie Consent Tool* (Cookie- Banner) die aktive Einwilligung in das Setzen der Cookies gewährleisten.
Formuliere in deiner Datenschutzerklärung klar, welche Daten beim Abonnieren deines Newsletters anfallen (könnten). Erwähne zumindest, dass es ein Tracking gibt und dass du Einsicht auf diese Daten hast.
DSGVO-Checkliste für dein Newsletter-Formular
Bei der Erstellung der Formulare musst du auf folgende Punkte achten:
SSL-Verschlüsselung
Es steht nicht im DSGVO Gesetzestext, dass du eine SSL Verschlüsselung nutzen musst. Allerdings ist in Artikel 32 Absatz 1 von der Verschlüsselung von Daten die Rede:
“[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […]”
Deine Webseite sollte auch ohne Newsletter-Formular ein SSL Zertifikat nutzen. Du erkennst es an dem kleinen Schloss in der Adresszeile des Browsers.
Deine Besucher bekommen sonst den Hinweis: “Diese Seite ist nicht sicher”.
Datensparsamkeit
Erhebe nur so viele Daten, wie du unbedingt brauchst.
Für die Newsletter-Anmeldung ist das eigentlich nur die E-Mail-Adresse. Die darf auch ein Pflichtfeld sein.
Gemäß Artikel 5 DSGVO müssen personenbezogene Daten
“ […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‘Datenminimierung’)”
Am konkreten Beispiel: Wenn deine Inhalte nicht ab 18 sind, geht dich das Geburtsjahr deiner Abonnenten nichts an.
Absenderangaben
Aus deinem Formular muss klar hervorgehen, das du der Absender deines Newsletters ist.
Du kannst das über dein Logo oder auch im Text über deinen Firmennamen deutlich machen. Außerdem solltest du deinen Datenschutzbeauftragten nennen. Durch den Link zu deiner Datenschutzerklärung kannst du dieser Pflicht nachkommen. Wenn du mehr als 10 Mitarbeiter hast, ist der dort natürlich namentlich benannt.
Im Sinne der Transparenz müssen nach bisheriger Rechtslage Newsletter-Abonnenten bereits über den Umfang und Zweck der Datenerhebung informiert werden. Diese Verpflichtung wird mit Inkrafttreten der EU-DSGVO noch einmal ausgeweitet. Zu den Informationen zählen unter anderem:
Aufgrund des großen Umfangs der bereitzustellenden Informationen empfehlen wir, die Inhalte auf einer gesonderten Seite zusammenzufassen. Das erleichtert deren Pflege deutlich.
Die Einwilligung bzw. Kenntnisnahme der Datenschutzerklärung sowie der Widerrufserklärung etc. muss aktiv vom Nutzer vorgenommen werden. Eine Möglichkeit wäre die Erweiterung der Formulare um entsprechende Kontrollkästchen (Checkbox). Dann darf die Anmeldung nur dann ausgeführt werden, sofern der User die Checkbox tatsächlich ausgewählt hat. Vorselektiert darf diese also nicht sein, um rechtssicher umgesetzt zu sein.
Hinweis und Zustimmung
Pflicht-Checkbox
Unter uns: Eigentlich liest keiner das Kleingedruckte. Es ist aber trotzdem wichtig (Artikel 13 der EU-DSGVO).
Du musst die Zustimmung deiner Abonnenten über eine Checkbox einholen und auch deine Datenschutzerklärung verlinken.
Integriere das obligatorische Kontrollkästchen in deinem Newsletter-Formular, das auf deine Datenschutzrichtlinie verweist.
Dieses Kontrollkästchen darf in der Standardeinstellung nicht aktiviert sein. Nur wenn der Interessent es aktiviert, darf die Newsletter-Anmeldung erfolgreich abgeschlossen werden (es muss ein Pflichtfeld sein).
Tracking-Checkbox
Zusätzlich zur “grundsätzlichen” Einwilligung, brauchst du gem. TTDSG auch eine Checkbox, bei der deine Abonnenten auswählen können, ob sie getrackt werden möchten oder nicht.
So ein Tracking ist möglich, wenn ein berechtigtes Interesse hat. Das kann durchaus bestehen, denn du willst deinen Abonnenten ja nur die Inhalte schicken, die sie auch interessieren und nicht zuspammen.
Die meisten Newsletter Tools bieten dieses Feature an, aber ich kenne keines, das die Leser beim Abonnieren explizit nach einer Einwilligung fragt. Es besteht auch bei den meisten Tools nicht die Möglichkeit, diese Funktion für einzelne Nutzer abzuschalten.
Was du tun kannst: Mache die Tracking Checkbox zum Pflichtfeld, wenn du das Tracking nicht ausschalten kannst und formuliere in deiner Datenschutzerklärung klar, welche Daten beim Abonnieren deines Newsletters anfallen (könnten). Erwähne zumindest, dass es ein Tracking gibt und dass du Einsicht auf diese Daten hast.
Hinweis zur Abmeldung
Es muss jederzeit möglich sein, sich vom Newsletter abzumelden.
Alles andere ist weder legal, noch seriös.
Die einzige Firma, die sich seit Jahren nicht daran hält, dass ich keine Werbeinformationen erhalten möchte und mir immer wieder und auf allen Kanälen Spam schickt, ist die Telekom.
Hinweis zu Häufigkeit / Frequenz
Wie oft verschickst du deinen Newsletter? Alle 14 Tage oder einmal pro Woche?
Gib an, wie viele Newsletter deine Abonnenten von dir erwarten dürfen.
Zweck der Datenerhebung
Welche Inhalte wirst du für deine Newsletter erstellen?
Zwei mal pro Monat Informationen zu neuen Blogartikeln oder Podcastfolgen?
Oder jede Woche die neuesten Trends aus deiner Branche inklusive Affiliate Links, die deine Abonnenten direkt anklicken können?
Double-Opt-in
Eine ausdrückliche Einwilligung ist nur über eine doppelte Bestätigung möglich (Art. 7 Abs. 1 DSGVO). Da kann ja jeder kommen und E-Mail-Adressen in Formulare eingeben (und das ist auch schon passiert).
1) Die Anmeldung erfolgt über das Formular,
2) dann bekommt der Abonnent eine Double-Opt-In-Mail und klickt den Link,
3) um sich zum Newsletter anzumelden.
ACHTUNG: Deine Bestätigungsmail darf keine Werbung enthalten. Schon ein Logo in dieser Mail kann als Werbung ausgelegt und abgemahnt werden.
Koppelungsverbot
Erpressung gilt nicht.
Du darfst deinen Kunden oder Interessenten deinen Newsletter nicht aufzwingen. Der Download von “Freebies”, Gewinnspielen, Werbungen und Produktkäufe müssen auch ohne Newsletter-Anmeldung möglich sein.
Du findest den Gesetzestext dazu in Artikel 7 Absatz 4 der EU-DSGVO:
“Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.”
Es gab allerdings in 2019 ein Urteil vom OLG Frankfurt, das sich gegen ein absolutes Kopplungsverbot aussprach.
Das OLG Frankfurt hat damals entschieden, dass der Austausch von Daten gegen Leistung (also für Whitepaper, E-Books oder ähnliches” völlig legitim ist.
Allerdings muss für alle Beteiligten klar sein, auf was sie sich einlassen.
Die Einwilligung muss freiwillig, eindeutig, nachweisbar und mit Double-Opt-In erfolgen.
Beschwerderecht bei der Aufsichtsbehörde
Artikel 77 Abs. 1 Datenschutz-Grundverordnung ( DSGVO ) gewährt deinen (potentiellen) Abonnenten das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde. Darüber musst du informieren. Zum Beispiel in deiner Datenschutzerklärung.
In Deutschland gibt es mehrere Datenschutzbehörden mit unterschiedlichen sachlichen Zuständigkeiten bestehen:
- der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI),
- die jeweilige Landesdatenschutzbehörde,
- die sogenannten spezifischen Datenaufsichtsbehörden.
Webseiten erstellen, die verkaufen
In den letzten Jahren habe ich unzählige Webseiten gemeinsam mit Kunden erstellt.
Die Grundlage war immer dieses Buch.
Weil es der perfekte rote Faden für dein Webseiten-Projekt ist. Ausführlich genug, um deine Webseite zu erstellen, aber eben keine 1000-Seiten-Beschäftigungstherapie. Denn du willst ja nicht Webdesigner werden.
Protokollierung
Solltest du abgemahnt werden, bist du als Versender in der Beweispflicht.
- Protokolliere den Anmeldeprozess: Du solltest genau wissen, wer sich wann (Datum & Uhrzeit) in deinen Newsletter eingetragen hat.
- Erstelle Screenshots oder ein Video vom Anmeldeprozess über Desktop und Smartphone und speichere sie mit Datum ab. Erneuere diese Screenshots einmal im Jahr, oder wenn du Änderungen vornimmst.
- Erstelle ein Verfahrensverzeichnis. Deine Aufsichtsbehörde sollte im Fall einer Abmahnung sehr schnell nachvollziehen können, welche personenbezogenen Daten du erhebst und wie du sie speicherst.
Aufbau deines Formulars
Beispieltext für dein Newsletter-Formular
Du musst das ausdrückliche Einverständnis deiner Abonnenten einholen.
“Ich stimme zu, dass ich 14-tägig den Newsletter von Firma XYZ zum Thema ABC erhalte.
Ich kann meine Einwilligung jederzeit über den Abmelde-Button oder per E-Mail an info@XYZ.de widerrufen.
Wenn du detaillierte Infos dazu suchst, was wir mit deinen Daten machen oder welchen Newsletter-Anbieter wir nutzen, dann lies gern die Datenschutzerklärung.”
Disclaimer: Ich bin keine Rechtsanwältin und das ist keine Rechtsberatung. Trotzdem möchte ich ein paar Beispiel zusammenstellen, die du gern nutzen kannst. Wenn du ganz sicher sein willst, dann lass den Text anwaltlich überprüfen.
Spam
Um zu vermeiden, dass sich diverse Bots auf die Newsletter-Liste anmelden, werden bei Newsletter-Anmeldungen häufig Captcha-Abfragen eingesetzt.
Captchas
Es ist ohnehin schwierig, Newsletter-Abonnenten zu gewinnen. Je einfacher, desto besser.
Allerdings ist vor allem bei Googles reCaptcha der Datenschutz mehr als problematisch. Aus Datenschutzgründen kann ich keinem empfehlen irgendwas aus dem Hause Google zu nutzen.
Abmahnfalle: Externe HTML Formulare
Leider sind die HTML Formulare, die du auf deiner Website einbauen kannst, sehr kritisch zu betrachten, da sie in manchen Fällen Google Fonts ziehen (zum Beispiel Mailerite). Dafür kannst du abgemahnt werden. Das ist leider zu 100% nicht DSGVO konform und deutlich risikoreicher, als alle anderen “Vergehen”, da es zu Google Fonts gerade eine akute Abmahnwelle gibt.
Prüfe also externe Formulare nicht nur auf alle oben genannten Punkte, sondern vor allem auch auf die Verwendung von Google Fonts.
Formulare erstellen: Ich habe ein paar Tutorials
So kannst du mit Elementor dein Formular erstellen und Mailchimp (Achtung Serverstandort USA, nicht DSGVO konform) verknüpfen:
Wenn du lieber DSGVO konform arbeiten willst, kannst du mit Elementor auch Fluent CRM verknüpfen:
Erfahrungsbericht: Beschwerde bei der Aufsichtsbehörde
Was passiert, wenn man nicht datenschutzkonform arbeitet und man abgemahnt wird? Das hat mich sehr interessiert und deswegen habe ich seit 2000 mehr als 25 Beschwerden bei den unterschiedlichen Behörden und Beauftragten eingereicht und dokumentiert.
Das ernüchternde Ergebnis: Es passiert nichts. Gar nichts. In den meisten Fällen habe ich außer einer Eingangsbestätigung nie mehr was von den ällen gehört.
Fall 1: Deutsche Telekom
Ich habe einen Festnetz Anschluss bei der Telekom.
Die Telekom lässt keine Möglichkeit aus, mir Spam zu schicken. Zu jeder Zeit und auf allen Kanälen.
Der Abmeldelink der Telekom führt nicht dazu, dass ich wirklich abgemeldet werde, ich muss mich einloggen. Ob das legal ist… ich bezweifle es.
Ich habe mich mehrfach beschwert und mir wurde immer wieder versichert: Kein Problem. Wir verschicken keine Mails mehr.
Leider ist das bis heute nicht der Fall. Leider ist das bis heute nicht der Fall.
Eine Beschwerde an die Aufsichtsbehörde endete erfolglos.
Hier ein Screenshot aus meinen aktuellen SMS (2022). Ich bekomme immer noch Werbung auf allen Kanälen. Post, Mail und SMS.
Fall 2: Nur noch 1 Klick
Ich habe irgendwann mal einen Newsletter abonniert und dann wieder abbestellt.
Danach habe ich folgende Mail bekommen:
Und zwar regelmäßig. So ungefähr einmal im Monat würde ich sagen.
Ich habe mich mehrfach aus dem Newsletter ausgetragen und auch dem Versender persönlich Bescheid gegeben.
Als das nicht funktioniert hat, habe ich mich an den Newsletter-Anbieter gewendet. Aber Klick-Tipp wollte mit da auch nicht weiter helfen und die Beschwerde bei der zuständigen Datenschutzbehörde ist bis heute unbeantwortet geblieben.
Das ist die einzige Antwort, die ich jemals vom Landesbeauftragten für den Datenschutz und Informationsfreiheit in Baden-Württemberg erhalten habe.
Fazit
Es gibt keinen Grund zur Panik, solange es keine Abmahnwelle zu Newsletter-Fomularen gibt.
Halte dich einfach an die Regeln, treib kein Schindluder mit Daten und schreibe gute Newsletter.
Wenn du ein Newsletter Tool suchst, kannst du hier nachlesen, welche DSGVO konformen Newsletter-Anbieter es gibt.